Quando si parla del nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) si fa riferimento a tutta una serie di nuove definizioni, che in alcuni casi si vanno a sovrapporre a quelle esistenti nel nostro Codice Privacy. Per adeguarsi nel modo corretto è tuttavia necessario comprendere i concetti basilari della normativa

Ecco un glossario delle voci più importanti della legge europea.

Archivio

Raccolta   di    dati    personali   organizzati   in    un    insieme   ordinato   e   indicizzato (indipendentemente dal fatto che sia elettronico o manuale).

Sono oggetto della normativa tutti i dati personali presenti in ARCHIVI ORGANIZZATI e INDICIZZATI, sia automatizzati che manuali. L’ordine è quindi l’elemento essenziale; il dato non ordinato (es. un appunto sulla scrivania) non viene preso in esame dalla normativa

Autorità di controllo

Una o più autorità pubbliche indipendenti che hanno il compito di assicurarsi il rispetto delle nuove norme sulla privacy, in ogni paese membro.

In Italia l’autorità di controllo pubblica è il Garante per la protezione dei dati personali (Garante Privacy); in Francia è il CNIL (Commission nationale de l’informatique et des libertés); in Spagna è l’AEPD (Agonica Spatola de Protección de Datos).

Autorità di controllo capofila

Nel caso di trattamento transfrontaliero, è l’autorità di controllo dove ha sede il titolare o il responsabile del trattamento, alla quale viene trasferita la competenza sul trattamento stesso rispetto ad altre autorità di controllo (definite “autorità interessate”). Seguendo un “principio di sportello unico”, quindi, per ogni trattamento transfrontaliero, il controllo viene svolto sotto la direzione di una sola autorità capofila. In queste ipotesi, l’attribuzione della competenza va quindi valutata, perché ci possono essere diversi casi, come ad esempio quello in cui una multinazionale ha la sede dell’amministrazione centrale in un paese, e in un altro paese ha uno stabilimento che assume decisioni autonome su finalità e mezzi di uno specifico trattamento.

Ad esempio

La sede centrale di una banca si trova a Francoforte, e tutti i trattamenti connessi all’attività bancaria sono gestiti da tale sede; tuttavia, l’ufficio assicurazioni della banca ha sede a Vienna. Se lo stabilimento situato a Vienna dispone dell’autorità per decidere su tutti i trattamenti connessi ad attività assicurative e ordinare l’esecuzione delle relative decisioni sull’intero territorio dell’UE, allora (come previsto dall’articolo 4, punto 16, del regolamento) sarà l’autorità di controllo austriaca a fungere da autorità capofila rispetto al trattamento transfrontaliero di dati personali per finalità assicurative, mentre le autorità tedesche (in questo caso, l’autorità di controllo del Land Assia) avranno il compito di monitorare il trattamento di dati personali per finalità bancarie ovunque si collochi la clientela.

Autorità di controllo interessata

Nel caso di trattamento transfrontaliero, è l’autorità di controllo (diversa dall’autorità capofila) che può avere una delle seguenti caratteristiche:

• è l’autorità di controllo dello Stato membro dove è stabilito il titolare o il responsabile del trattamento;
• è l’autorità di controllo dello Stato membro dove gli interessati residenti sono effettivamente o potenzialmente influenzati in modo sostanziale dal trattamento;
• è l’autorità di controllo di uno Stato membro a cui è stato proposto un reclamo sul trattamento personale.

Tale autorità interviene nei confronti dell’autorità capofila al fine di tutelare gli interessati del proprio territorio.

Ad esempio

Una società di marketing il cui stabilimento principale è situato a Parigi, lancia un prodotto per persone che risiedono in Portogallo. In questo caso, poiché il trattamento produce effetti esclusivamente locali (ossia gli interessati sono solo nel Portogallo) l’autorità di controllo francese (capofila) e l’autorità di controllo portoghese (interessata) possono decidere di come accordo chi debba occuparsi del caso, e quindi anche l’autorità portoghese potrebbe aver diritto di chiedere al Titolare del trattamento di fornire chiarimenti rispetto agli accordi societari in essere.

Comitato

Il   Comitato   europeo   per   la   protezione   dei   dati   è   un   organismo   dell’UE   incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018. È composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante europeo della protezione dei dati o dai loro rappresentanti. Può fare da consulente alla Commissione europea in merito a qualsiasi questione relativa alla protezione dei dati personali nell’Unione.

Per capire meglio

Possiamo definire questo organismo l’erede del “Gruppo Ex Art. 29”, istituito appunto dall’art. 29 della Direttiva 95/46, la cui attività, consultiva e indipendente, è stata principalmente quella di assicurarsi che le autorità di controllo nazionali seguissero interpretazioni comuni della normativa europea in materia di privacy.

Consenso dell’interessato

“Atto positivo inequivocabile ed esplicito” che manifesta la volontà dell’interessato a dare il proprio assenso al trattamento dei suoi dati personali, dopo che è stato preventivamente informato circa le finalità, le modalità e qualsiasi altro aspetto tramite l’informativa. Il consenso deve essere fornito per ogni finalità di trattamento, altrimenti non è valido.

Per capire meglio

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche richieste dal GDPR (libero, specifico, informato e inequivocabile). In caso contrario, il Garante si raccomanda di adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2).

Dati Biometrici

Categorie particolari di dati personali, ottenuti da tecnologie in grado di rilevare in modo automatizzato una o più caratteristiche biologiche e/o comportamentali (biometria) di una persona fisica. Tra  le  caratteristiche fisiologiche: l’altezza, l’immagine  facciale,  le impronte digitali, la topografia della mano, il colore e la dimensione dell’iride, la retina, la forma dell’orecchio, la vascolarizzazione. Tra le caratteristiche comportamentali: l’impronta vocale, la scrittura grafica, la firma, i dati dattiloscopici, lo stile di battitura sulla tastiera, i movimenti del corpo.

Per capire meglio

Elemento fondamentale è la presenza di un processo automatizzato di analisi biometrica, tramite una tecnologia informatica. Ad esempio, le fotografie saranno considerati dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione di una persona fisica.

Dati genetici

Tutti quei dati personali relativi alle caratteristiche genetiche (ereditarie o acquisite) che risultino dall’analisi di un campione biologico della persona fisica in questione.

Ad esempio

Analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), a qualsiasi altro elemento che consenta di ottenere informazioni equivalenti.

Dati Personali

Un dato personale è qualsiasi informazione che identifica (o rende identificabile) direttamente o indirettamente una persona fisica.

Ad esempio

Qualsiasi dato che riconduce ad una persona fisica è un dato personale: nome e cognome (quindi anche la email aziendale se composta da nome.cognome@azienda.it), cellulare, foto, ecc.

Dati relativi a condanne penali e giudiziari

Dati personali che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato. Il Regolamento UE 2016/679, all’articolo 10, ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Ad esempio

I provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione.

Dati personali “particolari” (ex categoria dati sensibili)

Sono dati personali per i quali sono richieste particolari cautele. Possono rilevare l’identità della persona attraverso elementi biometrici o genetici, oppure attraverso la sua posizione (dati geolocalizzati) oppure sono legati ad altri aspetti quali: l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dati relativi alla salute

Tutti i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Ad esempio

Le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati.

Destinatario

Qualsiasi soggetto  (pubblico o privato) che riceve comunicazione di dati personali. Vige l’obbligo di comunicare all’interessato l’eventuale comunicazione a Destinatari, a meno che ciò non rappresenti uno sforzo spropositato (Considerando 61 e 62) oppure il destinatario sia un’autorità pubblica.

Per capire meglio

Il regolamento europeo prevede un’eccezione in merito ossia:

le autorità pubbliche, a cui i dati personali sono comunicati conformemente a un obbligo legale ai fini dell’esercizio della loro missione istituzionale, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità amministrative indipendenti o autorità dei mercati finanziari, responsabili della regolamentazione e della vigilanza dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari, qualora ricevano dati personali che sono necessari per svolgere una specifica indagine nell’interesse generale, conformemente al diritto dell’Unione o degli Stati membri.(Considerando nr 31)

Diritto alla portabilità

L’interessato ha il diritto di richiedere i propri dati personali e poterli trasferire da un titolare all’altro. Tale diritto mira a facilitare la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti. Il GDPR promuove lo sviluppo di formati interoperabili (ad esempio strumenti per il download dei dati e automatismi di trasferimento online) da parte dei titolari così da consentire la portabilità dei dati, ma non configura un obbligo in capo ai titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili. Vieta ai titolari di creare ostacoli alla trasmissione dei dati.

Per capire meglio

In realtà si tratta di un doppio diritto in quanto sancisce:

“il diritto di ricevere dati personali (in un formato strutturato, di uso comune e leggibile meccanicamente) e di memorizzarli su un dispositivo per un successivo utilizzo personale, senza necessariamente doverli trasferire a un diverso titolare (ad esempio un interessato potrebbe voler recuperare l’elenco dei brani musicali preferiti o ascoltati, detenuto da un servizio di musica in streaming, per scoprire quante volte ha ascoltato determinati brani o stabilire cosa acquistare o ascoltare su un’altra piattaforma di musica digitale)”.

“ il diritto a trasmettere i propri dati personali da un titolare del trattamento a un altro, senza impedimenti”. Si tratta di un diritto che facilita la circolazione, la copia o il trasferimento di dati personali da un ambiente informatico all’altro.

Diritto alla rettifica

L’interessato ha la possibilità di richiedere, in qualsiasi momento, la modifica dei propri dati personali qualora questi risultino inesatti.

Dati alla cancellazione (c.d. all’oblio)

L’interessato ha la possibilità di richiedere la totale cancellazione dei propri dati personali presso un determinato titolare del trattamento. Tale diritto può essere esercitato anche dopo la revoca del consenso al trattamento. In virtù dell’articolo 12 (comma 5), se la richiesta risultasse essere infondata o eccessiva (in particolare per il carattere ripetitivo), il titolare del trattamento può rifiutare la richiesta dell’interessato oppure addebitargli un contributo alle spese da sostenere per la cancellazione. In ogni caso è il titolare che deve dimostrarne la infondatezza o l’eccessività della richiesta.

Per capire meglio

Ricevuta la richiesta, il titolare ha l’obbligo di cancellare i dati personali, senza ingiustificato ritardo, qualora la richiesta rientri nei casi previsti dall’articolo stesso (ad esempio se i dati sono trattati illecitamente se è venuta meno la finalità per cui sono stati trattati). Se poi tali dati sono stati resi pubblici dal titolare stesso, questi ha l’obbligo di informare tutti i soggetti che stanno trattando i dati personali, della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali, adottando misure ragionevoli in base ai costi e alla tecnologia disponibile.

Diritto di accesso

L’interessato ha il diritto di richiedere e ottenere, al titolare del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, con una descrizione esatta delle modalità e finalità. L’accesso al dato può avvenire da remoto oppure chiedere una copia.

Per capire meglio

I titolari del trattamento possono creare un sistema per consentire all’interessato l’accesso da remoto (protetto con utenza e password) a un sistema sicuro che gli permetta di verificare direttamente i propri dati. Oppure, il titolare deve fornire queste informazioni il prima possibile (al massimo entro un mese), a titolo gratuito e in forma scritta.

Diritto di opposizione

L’interessato ha la possibilità di opporsi, in qualsiasi momento e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.

Per capire meglio

In caso di attività di marketing diretto, questo diritto può essere esercitato senza addurre motivazioni. Nel caso di operazioni che si svolgono prevalentemente online o comunque elettroniche (es. invio newsletter o sms promozionali) sarebbe opportuno che il titolare predisponesse a monte un meccanismo automatizzato che consenta all’interessato di esercitare l’opt-out.

Gruppo imprenditoriale

Gruppo di imprese costituito da un’impresa controllante e dalle sue controllate, là dove l’impresa controllante dovrebbe essere quella che può esercitare un’influenza dominante sulle controllate, in forza, ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare le norme in materia di protezione dei dati personali. Un’impresa che controlla quindi il trattamento dei dati personali in imprese a essa collegate viene detta gruppo imprenditoriale insieme alle dette imprese collegate.

Impresa

L’impresa  è  un’attività  economica  esercitata  da  una  persona  fisica  o  giuridica, professionalmente organizzata al fine della produzione o dello scambio di beni o servizi.  

Per micro, piccola e media impresa si considera a ogni entità, a prescindere dalla forma giuridica rivestita, che eserciti un’attività economica, in particolare sono considerate tali le entità che esercitano un’attività artigianale o altre attività a titolo individuale o familiare, le società di persone o le associazioni che esercitino un’attività economica.

Informativa

La comunicazione che fornisce tutte le informazioni utili che l’interessato deve sapere nel momento in cui decide di dare il suo consenso al trattamento dei dati personali.

Per capire meglio

Deve avere forma concisa, trasparente, intelligibile per l´interessato e facilmente accessibile; per questo, occorre utilizzare un linguaggio chiaro e semplice. Il regolamento supporta il concetto di informativa “stratificata” e ammette anche l’utilizzo di icone per presentare i contenuti dell´informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa; queste icone dovranno essere identiche in tutta l´Ue (si pensi a quelle già in vigore per la videosorveglianza) e saranno definite prossimamente dalla Commissione europea.

Interessato

Persona fisica a cui si riferiscono i dati personali oggetto del trattamento, che può essere identificata o identificabile (cioè può essere identificata anche in modo indiretto) attraverso il trattamento stesso.

Per capire meglio

L’interessato diventa identificabile tramite informazioni oppure caratteristiche rilevabili oppure l’incrocio di più dati personali. L’interessato deve essere necessariamente una persona fisica, pertanto le imprese e gli enti non possono essere considerati interessati al trattamento.

Limitazione di trattamento

Sospensione temporanea (che può trasformarsi in permanente) del trattamento dei dati in corso, per i quali è consentita solo la conservazione. Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.

Per capire meglio

Le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere inaccessibili i dati personali selezionati agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web.

Meccanismo di coerenza

Viene adottato quando un’autorità di controllo intende prendere delle misure, con riguardo ad attività di trattamento, che abbiano effetti giuridici su un numero significativo di interessati in vari Stati membri oppure può essere messo in atto quando un’autorità di controllo interessata o la Commissione chieda che tale questione sia trattata nell’ambito del meccanismo di coerenza, proprio per garantire un trattamento uniforme nei vari Stati.

Per capire meglio

Il meccanismo di coerenza rientra nella parte relativa alla cooperazione tra le autorità di controllo degli stati membri che, al fine di contribuire all’applicazione coerente del Regolamento in tutta l’Unione, cooperano tra loro e, nel caso, con la Commissione Europea mediante appunto il meccanismo di coerenza. Può essere utilizzato anche per favorire un’applicazione coerente delle sanzioni amministrative pecuniarie. Qualora ci siano divergenze, alla fine, il Comitato emette una decisione vincolante a cui tutti gli stati membri dovranno uniformarsi

Norme vincolanti d’impresa

Dette anche BCR (Binding Corporate Rules) sono uno strumento che ha il fine di consentire il

trasferimento di dati personali verso Paesi terzi extra UE tra società facenti parti dello stesso gruppo d’impresa. In pratica consistono in un documento contenente una serie di clausole

(rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

Per capire meglio

Le BCR devono essere esaminate e approvate dall’autorità di controllo nazionale o europea, che deve verificare la sussistenza dei contenuti minimi espressamente previsti dal regolamento.

Obiezione pertinente e motivata

È un concetto riguardante il trattamento transfrontaliero e riguarda i rapporti di cooperazione tra autorità di controllo capofila e autorità interessate. Quando l’autorità capofila trasmette alle  autorità  interessate  un  progetto  di  decisione,  queste  possono opporre  allo  stesso un’obiezione  pertinente  (quindi  che  riguardi  il  progetto  comunicato)  e  motivata  (che contenga le motivazioni dell’obiezione sollevata). Nel caso in cui la capofila non tenga conto di questa obiezione o la ritenga non pertinente e non motivata dà avvio al cosiddetto meccanismo di  coerenza. Se, invece, la capofila tiene conto dell’obiezione allora rivede il progetto di decisione e lo rimanda nuovamente a tutte le autorità interessate.

Organizzazione internazionale

Un’organizzazione  e  gli  organismi di diritto   internazionale  pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Profilazione

Raccolta di informazioni su un individuo al fine di effettuarne una valutazione automatizzata, attraverso l’analisi delle sue caratteristiche comportamentali e l’inserimento dello stesso in categorie o gruppi. Nel profilare le persone, si va infatti ad integrare il dato personale generico (nome, cognome, indirizzo, mail, ecc) con informazioni aggiuntive, spesso dedotte dalle attività svolte dalla persona stessa tramite un sistema. La profilazione si configura come un trattamento aggiuntivo automatizzato che analizza l persona per effettuarne valutazioni e/o previsioni su aspetti che riguardano il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti.

Ad esempio

Alcune applicazioni mobile forniscono servizi di localizzazione che consentono all’utente di trovare ristoranti nelle vicinanze, ad esempio che offrono sconti. Tuttavia, i dati raccolti in questa fase vengono anche utilizzati per costruire un profilo sull’interessato più preciso e per scopi di marketing, come identificare le sue preferenze alimentari o lo stile di vita. L’interessato si aspetta così che i suoi dati vengano utilizzati per trovare ristoranti, ma in realtà riceve pubblicità per la “consegna della pizza a casa” in quanto l’app ha rilevato il suo comportamento (es. “arriva a casa tardi”) e identifica come utente potenzialmente interessato a questo servizio. Questo ulteriore utilizzo dei dati potrebbe quindi non essere compatibile con gli scopi iniziali per i quali i dati dell’utente sono stati raccolti, e per questo richiede il consenso esplicito dell’interessato.

Pseudonimizzazione

Detta anche cifratura, consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica per non permetterne l’identificazione diretta, se non utilizzando informazioni aggiuntive. I dati personali sono quindi conservati in una modalità che impedisce l’identificazione di una persona fisica senza l’utilizzo di informazioni aggiuntive.

Per capire meglio

Può essere di due tipi: simmetrica o asimmetrica. Simmetrica: quando si utilizza una sola chiave per mascherare i dati. Asimmetrica: quando si utilizzano due chiavi diverse: una per cifrare il dato, l’altra per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.

Rappresentante

Quando il titolare o il responsabile del trattamento non è stabilito nell’Unione ma tratta dati personali di persone che risiedono in uno stato membro UE, questi devono nominare per iscritto una persona fisica o giuridica, stabilita nell’Unione, che funga da interlocutore con le autorità di controllo e con gli interessati e lo rappresenti per tutti gli obblighi derivanti dal regolamento europeo.

Responsabile del trattamento

Qualsiasi soggetto che tratta i dati personali del Titolare del trattamento in suo nome e conto.

Ad esempio

La società che sviluppa un software in cloud per gestire l’invio di email, dovrà essere nominata quale Responsabile del trattamento per i dati gestiti per conto del Titolare, in quanto questi memorizza i dati personali raccolti sul sistema terzo, ma ne decide pienamente le modalità di gestione.

Responsabile della protezione dei dati (DPO)

L’RPD o DPO (Data Protection Officer) è una figura (obbligatoriamente prevista solo in alcuni casi) che svolge il ruolo di supervisionare i processi relativi al trattamento dei dati personali. Può essere una persona fisica oppure un team di persone,  interne o esterne.  Coopera  con l’autorità, per questo motivo, quando viene nominato, il suo nominativo va comunicato al Garante.

Sono tenute alla nomina di un DPO:

Nel settore pubblico: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, ecc. Nel settore privato: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, ecc.

Servizio della società dell’informazione

Qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. S’intende:

1. «a distanza»: un servizio fornito senza la presenza simultanea delle parti;
2. «per via elettronica»: un servizio inviato all’origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici;
3. «a richiesta individuale di un destinatario di servizi»: un servizio fornito mediante trasmissione di dati su richiesta individuale.

Stabilimento principale

Lo stabilimento principale di un titolare del trattamento nell’Unione corrisponde al luogo in cui ha sede la sua amministrazione centrale nell’Unione; se le decisioni sulle finalità e i mezzi del trattamento di dati personali sono adottate in un altro stabilimento del titolare del trattamento nell’Unione, tale altro stabilimento viene lo stabilimento principale.

Terzo

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia

l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

Titolare del trattamento

È il proprietario dei dati personali, ed è colui che ne definisce le modalità di trattamento, decidendo tutte le misure tecniche e organizzative.

Per capire meglio

Il titolare è l’entità nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.) e non una delle singole persone fisiche che vi operano (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).

Trattamento

Si definisce come trattamento qualunque operazione svolta sui dati personali con o senza l’ausilio di strumenti elettronici, che riguarda la raccolta dei dati, la registrazione, organizzazione, la conservazione, la consultazione, l’elaborazione, il blocco, la modifica, l’utilizzo, l’interconnessione, la comunicazione, la diffusione, la cancellazione, la distruzione, la selezione, l’estrazione, il raffronto dei dati personali degli interessati.

Trattamento transfrontaliero

Per trattamento transfrontaliero si intende

• trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione oppure
• trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.

Violazione dei dati personali

Detta anche data breach, è una violazione dei dati personali presenti in un determinato database, perché copiati, trasmessi, consultati o utilizzati da soggetti non autorizzati a farlo. Si tratta di un evento che può comportare diversi livelli di rischio per gli interessati, in base alla tipologia di dato oggetto della violazione e alle libertà personali che possono essere compromesse. In base alla gravità dell’evento, può essere necessario fare o meno una comunicazione al Garante.

Ad esempio

1. Una società di hosting web individua un errore nel codice che controlla l’accesso da parte degli utenti. L’anomalia comporta che qualunque utente possa accedere ai dettagli dell’account di qualsiasi altro utente;
2. Una e-mail di marketing diretto viene inviata ai destinatari nel campo “a:” o “cc:”, consentendo così a ciascun destinatario di visualizzare l’indirizzo di posta elettronica di altri destinatari;
3. Durante un cyber-attacco al sito web vengono rubati dati personali.

S